신한카드 직원 12명, 고객 정보 유출
하루 평균 162건씩 3년간 조직적으로 범행
2차 피해 위험 우려에 위기감 확산

신한카드 직원 12명이 3년 2개월 동안 가맹점 대표자 개인정보 19만 2,088건을 조직적으로 유출한 사실이 드러났다. 경찰청 국가수사본부 사이버테러대응과는 23일 신한카드 정보 유출 사건에 대해 경기북부경찰청 사이버수사과에 내사를 지시했다.

유출 기간은 2022년 3월부터 2025년 5월까지로, 하루 평균 162건씩 가맹점 대표자 이름과 휴대전화번호, 생년월일 등이 유출됐다.

신한카드는 3년 넘게 유출 사실을 인지하지 못하다가 2025년 11월 12일 개인정보보호위원회에 접수된 공익 제보를 통해 사태를 파악했다. 유출 경위와 보안 대책을 정리했다.

신한카드 직원 12명, 실적 위해 조직적 유출

이번 유출에는 신한카드 5개 영업소 소속 직원 12명이 연루된 것으로 파악됐다. 이들은 신규 카드 모집 영업 실적과 수수료 증대를 위해 가맹점 대표자 정보를 무단으로 빼돌렸으며, 외부 해킹이나 제3자 판매 정황은 확인되지 않았다.

유출된 정보는 휴대전화번호 18만 1,585건, 휴대전화번호와 이름 8,120건, 휴대전화번호·이름·생년·성별 2,310건, 휴대전화번호·이름·생년월일 73건으로 구성됐다.

주민등록번호, 카드번호, 계좌번호 등 신용정보는 유출되지 않았으며, 가맹점 대표자만 피해 대상이고 일반 카드 고객 정보 유출은 없는 것으로 확인됐다.

신한카드는 11월 13일 제보 자료를 확인한 후 약 3주간 데이터 분석과 내부 대면 조사를 진행했으며, 12월 23일 경찰에 공식 신고했다. 관련 직원 12명은 현재 업무에서 배제된 상태이며, 신한카드는 형사 고발 등 법적 조치를 검토 중이다.

모니터 촬영·수기 기록으로 내부 통제망 무력화

직원들은 회사 보안 시스템의 로그 기록을 남기지 않기 위해 아날로그 방식을 악용했다. 조회된 개인정보를 스마트폰으로 촬영하거나 종이에 직접 적어서 공유하는 방식으로 내부 통제망을 무력화했다. 이는 전자적 접근 제어나 시스템 로그 모니터링으로는 탐지가 어려운 방식이다.

곽진 아주대 사이버보안학과 교수는 “3년간 지속된 일탈을 막지 못한 것은 내부 통제 시스템의 총체적 부실”이라면서도 “시스템 접속 권한을 가진 직원이 사진 촬영 등 물리적 수법으로 정보를 유출할 경우 기술적 탐지에 한계가 있다”라고 지적했다.

이번 사건은 ‘내부자 위협(Insider Threat)’의 전형적 사각지대를 보여주는 사례로, 보안 대책이 원점에서 재검토돼야 한다는 지적이 나온다.

2차 피해 우려, 개보위·금감원 조사 착수

개인정보보호위원회는 11월 16일 공익신고 접수 후 조사에 착수했으며, 유출 경위와 규모, 개인정보보호법 위반 여부 등을 조사하고 있다. 금융감독원도 현장검사를 실시하며 신용정보 추가 유출 가능성을 점검 중이다.

곽 교수는 “가맹점주는 업무 특성상 모르는 전화라도 받을 수밖에 없는데, 범죄자들이 이를 악용할 경우 피싱 위험이 매우 높다”라며 “최근 다수 해킹 피해가 발생한 상황에서 이번에 유출된 전화번호가 기존 유출 정보와 매핑(mapping)될 경우 카드 정보나 통신사 정보까지 조회될 가능성도 높다”라고 경고했다.

2025년에는 쿠팡, SKT, KT, 롯데카드 등 다수 기업에서 개인정보 유출 사고가 발생했으며, 유출된 정보가 결합될 경우 2차 피해 위험이 커진다는 우려가 제기되고 있다.